Нормативное законодательное обеспечение информационной безопасности в государственных и коммерческих организациях
Законодательное обеспечение - это законодательные акты, которые регламентируют правила обработки и использования информации и компьютерной техники, определяют категории открытого и ограниченного доступа, права и обязаности должностных лиц на установление и изменение полномочий, порядок контроля, документирования и анализа работы АИС и устанавливают меры ответственности за нарушение данных правил.
Следует отметить, что в последнее время сформировались следующие направления, требующие законодательной поддержки:
защита персональных данных;
борьба с компьютерной преступностью, в первую очередь в финансовой сфере;
защита коммерческой тайны и обеспечение благоприятных условий для предпринимательской деятельности;
защита государственных секретов;
обеспечение безопасности АСУ потенциально опасных производств;
страхование информации и информационных систем;
сертификация и лицензирование в области безопасности, контроля безопасности информационных систем;
организация взаимодействия в сфере защиты данных со странами СНГ и другими государствами.
Законодательное обеспечение объединяет следующие четыре группы:
блок специальных актов, целиком посвященных проблемам законодательства;
нормативные правовые акты (отдельные нормы в актах), входящие в состав уже существующих отраслей законодательства (права), посвященные информационным проблемам;
акты, определяющие статус и положение органов государственной власти , юридических лиц, в которые включаются нормы о правах, обязаностях и ответственности субъектов в области информационной деятельности;
правовые акты с нормами, регулирующими отношения относительно создания, преобразования и потребления информации.
Правоохранительная практика - мероприятия по выявлению, исполнению и доказательству компьютерных преступлений.
Очевидно, что, в связи со значительной спецификой, для практической судебной апробации всех законов, судьи должны получить специальную подготовку.
Следует отметить, что компьютерные преступления в области информационного бизнеса достаточно трубно предотвратить, обнаружить, расследовать и устранить последствия. Это обусловлено рядом факторов:
трудностью выявления объективной стороны преступления;
сложностью АИС;
значительным количеством людей, имеющих прямое или косвенное отношение к подготовке, реализации и последствиям преступления;
сложностью установления субъективной стороны состава преступления с выделением двух аспектов: персонификация деяния и установление факта умышленного или неумышленного совершения воздействия;
трудностью определения предмета преступления;
неопределенностью характеристики системно-географического места совершения преступления и страны юрисдикции которой она подлежит;
субъективной и объективной сложностью оценки ценности информации, хранимой в АИС, и, следовательно, прямой экономической оценки последствий преступлений.
Этапы формирования правового пространства
При разработке и реализации правового обеспечения информационной безопасности АИС необходимо реализовать следующие этапы:
Разработка принципов правового регулирования переработки информации с учетом аспектов обеспечения международной и общественной безопасности и прав человека.
Разработка правовых норм, устанавливающих ответственность за компьютерные преступления. С уровнем жесткости санкций тесно связан методологический вопрос оценки ценности информации и определения потенциального ущерба, нанесенного отдельному лицу или обществу в целом.
Защита профессиональных и авторских прав программистов как особой группы лиц, правовая незащищенность или неопределенность которой может существенно влиять на все аспекты обеспечения информационной безопасности.
Совершенствование уголовного и гражданского законодательства в области информационной безопасности. Зарубежная практика показывает, что прежде всего законом должен быть установлен порядок санкционированного доступа к АИС. Черезвычайно важным является проблема придания юридической силы документам, формируемым компьютерными средствами.
Совершенствование практики судопроизводства. Следует отметить, что важной проблемой, которая затрудняет следствие и судопроизводство, является то, что компьютерные преступления зачастую не рассматриваются общественным мнением как серьезная угроза по сравнению с традиционными видами преступлений. Кроме того, низкая техническая оснащенность, недостаточные финансовые возможности и отсутствие высококвалифицированных кадров не позволяют эффективно противостоять даже традиционным видам преступлений.
Постоянный гласный общественный контроль за разработкой законодательных актов и за разработчиками обшедоступных АИС, баз данных и другого программного обеспечения.